HackerOne heeft bevestigd dat persoonsgegevens van medewerkers zijn gelekt na een beveiligingsincident bij Navia, een externe dienstverlener voor werknemersvoordelen. Het incident vond niet plaats binnen de systemen van HackerOne zelf, maar bij de Amerikaanse partner waar het bedrijf klant van is.
Uit een officiële melding bij de Amerikaanse toezichthouder blijkt dat aanvallers tussen 22 december 2025 en 15 januari 2026 toegang wisten te krijgen tot systemen van Navia. De inbraak werd op 23 januari ontdekt, waarna verdere analyse volgde en betrokken organisaties later zijn geïnformeerd. Pas medio maart zijn getroffen personen op de hoogte gebracht, meldt BleepingComputer.
In totaal zijn 287 medewerkers van HackerOne geraakt door het datalek. Het gaat om een relatief beperkt aantal, al onderstreept de aard van de gegevens het potentiële risico. Slechts één van de betrokkenen bevindt zich in de Amerikaanse staat Maine, waar de melding verplicht werd ingediend.
De buitgemaakte informatie bestaat uit een combinatie van identificerende en gevoelige persoonsgegevens. Denk aan namen, adressen, telefoonnummers en e-mailadressen, maar ook geboortedata en Amerikaanse burgerservicenummers. Daarnaast zijn gegevens over deelname aan regelingen en administratieve data zoals in- en uitschrijfdata ingezien. In sommige gevallen gaat het ook om informatie van gezinsleden.
Volgens de melding gaat het om een externe systeeminbraak, waarbij onbevoegden misbruik maakten van een kwetsbaarheid in de toegangscontrole. Daardoor konden gegevens worden ingezien zonder dat daarvoor de juiste rechten waren vereist. Wie achter de aanval zit, is niet bekend en er heeft zich geen partij gemeld die verantwoordelijkheid opeist.
Risico op phishing en misbruik blijft groot
Hoewel er geen aanwijzingen zijn dat financiële gegevens of claimsystemen zijn getroffen, blijft het risico voor betrokkenen aanzienlijk. De combinatie van persoonlijke gegevens maakt gerichte phishing en andere vormen van social engineering aannemelijk. Aanvallers kunnen met deze informatie geloofwaardige berichten opstellen of zich voordoen als betrouwbare partijen.
HackerOne adviseert getroffen medewerkers dan ook om alert te zijn op verdachte communicatie en hun accounts en financiële gegevens goed te monitoren. Ook wordt aangeraden om wachtwoorden en beveiligingsvragen te wijzigen als deze verband houden met de gelekte informatie.
Navia biedt ondersteuning in de vorm van identiteitsbescherming en kredietmonitoring via Kroll. Deze dienstverlening kan, afhankelijk van de situatie, tot maximaal twee jaar worden ingezet. Daarmee probeert de dienstverlener de impact van het incident voor betrokkenen te beperken.
Het voorval onderstreept opnieuw het risico van afhankelijkheid van externe partijen voor gevoelige data. Zelfs wanneer een organisatie haar eigen beveiliging op orde heeft, kunnen kwetsbaarheden bij leveranciers alsnog leiden tot datalekken met directe gevolgen voor medewerkers of klanten.